NextCry Ransomware

Las amenazas de ransomware generalmente se escabullen en una computadora y se aseguran de bloquear todos los datos presentes antes de intentar chantajear a la víctima para que pague una tarifa de rescate. Sin embargo, algunos autores de amenazas de ransomware son más creativos. Una de las amenazas detectadas más recientes se llama NextCry Ransomware. En lugar de apuntar a las computadoras, el NextCry Ransomware persigue un servicio de intercambio de archivos llamado NextCloud. El servicio NextCloud es popular entre los usuarios habituales y las pequeñas y grandes empresas. Los usuarios de la plataforma NextCloud han sido atacados por los delincuentes cibernéticos detrás del NextCry Ransomware, y las víctimas han encriptado sus datos.

Cifrado y sincronización

Cuando los expertos en ciberseguridad estudiaron el NextCry Ransomware, descubrieron que la mayor parte está escrita en el lenguaje de programación Python. NextCry Ransomware solo puede funcionar en sistemas operativos, que están basados en UNIX, ya que el ejecutable es ELF Binary adecuado para el sistema operativo Linux. Cuando el NextCry Ransomware se infiltra en su objetivo, escaneará los datos y verificará la configuración con respecto a la sincronización. A continuación, el ransomware NextCry comienza a cifrar los datos específicos. Después de esto, la amenaza también se asegurará de activar el proceso de sincronización. Esto garantizaría que cualquier copia de respaldo de los archivos también se someta al proceso de encriptación del NextCry Ransomware. Privar al usuario de la posibilidad de recuperar sus datos de la copia de seguridad hace que sea más probable que considere pagar la tarifa de rescate. Cuando NextCry Ransomware bloquea un archivo, agrega una extensión '.nextcry' al final del nombre de archivo.

Además, este desagradable troyano de cifrado de datos también codifica el nombre de los archivos bloqueados mediante la aplicación del método base64. En el mensaje de rescate, los atacantes afirman que les gustaría recibir 0.25 Bitcoin (aproximadamente $ 2,100 al momento de escribir esta publicación) como una tarifa de rescate. Los autores del NextCry Ransomware proporcionan una dirección de correo electrónico donde pueden ser contactados para obtener más información o instrucciones: 'aksdkja0sdp@ctemplar.com'.

El servicio NextCloud declaró que el CVE-2019-11043 recientemente lanzado para una vulnerabilidad RCE (Remote Code Execution) que afecta el software del servidor web NGINX ayudó a los atacantes a comprometer la plataforma.

No es una buena idea ponerse en contacto con los creadores del NextCry Ransomware, y tampoco debe darles su efectivo ganado con tanto esfuerzo. Asegúrese de haber instalado una herramienta antimalware legítima y mantenga su software actualizado para disminuir las posibilidades de ser víctima de ransomware.